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PROCEDE DE REALISATION D'UNE TRANSACTION 
ELECTRONIQUE UTILISANT PLUSIEURS SIGNATURES 

DESCRIPTION 

5 

Domaine technique 

La presente invention a pour objet un procede de 
realisation d'une transaction electronique utilisant 
plusieurs signatures. 

10 Elle trouve une application dans toutes les 

transactions (teleachat, telepaiement , acces a r un 
service, etc..) s 1 ef f ectuant a l'aide de moyens 
electroniques, comme les cartes a puces par exemple. 
L 1 invention trouve une application particuliere dans le 

15 porte-monnaie electronique. 

Etat de la technique anterieure 

La securite des transactions electroniques par 
carte a puce repose sur des techniques 

20 cryptographiques . Le processeur de la puce calcule et 
emet une signature numerique de la transaction qui 
constitue une preuve de l f accord de la partie emettrice 
de la signature sur cette transaction. Cette preuve est 
specif ique a I'organisme emetteur gestionnaire de 

25 1 1 application. Cette signature numerique est le 
resultat d'un calcul portant sur les donnees 
identifiant l 1 emetteur de la carte, le terminal, le 
numero de la transaction, le montant de la transaction 
et eventuellement le numero de compte du porteur. 

30 Les donnees sont transmises a 1 1 emetteur de la 

carte qui effectue les traitements appropries tels que 
l f audit de la transaction par verification de la 
signature, mise en recouvrement , debit du compte 
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client, credit du compte du fournisseur de services, 
etc. . . 

Dans une des techniques anterieures decrites dans 
FR-A-2 748 591, la carte produit deux signatures, la 
5 premiere dite "longue" (algorithme a cle publique) et 
destinee au fournisseur de services, et la seconde, 
dite "courte" (algorithme a cle secrete) encapsulee 
dans la premiere est destinee a l'emetteur. Le 
prestataire de services verifie la signature longue/ et 

10 si le resultat est correct, rend le service commande et 
stocke la signature courte. II transmet a l'emetteur, 
en fin de journee, les signatures. _ courtes .stockees et 
les donnees correspondantes . - : ; ■= . ; 

Ce schema, s'il a 1 1 avantage . d' etre, simple, pose 

15 cependant quelques problemes lorsque les paiements sont 
realises au moyen d'un porte-monnaie electronique (PME 
en abrege) . II est, en effet, parfois necessaire 
d'introduire un ou plusieurs acteurs intermediaires 
entre les trois parties deja citees a savoir le 

20 porteur, le prestataire de services et l'emetteur, 
selon les besoins de concentration effectuant des 
cumuls de valeur electronique. 

Une solution consiste a ajouter des moyens 
intermediaires appeles SAM ("Secure Application 

25 Modules) verifiant l'une des deux signatures produites 
par la carte et cumulant la valeur electronique regue. 

Si les SAM intermediaires etaient capables 
d'effectuer la meme verification que celle faite par 
l'emetteur, la securite serait degradee. En effet, si 

30 l f algorithme cryptographique utilise pour produire la 
signature destinee a l'emetteur de la carte etait a cle 
secrete, la cle de l'emetteur serait placee a des 
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15 



niveaux de responsabilite inferieurs vis-a-vis de la 
garantie de la monnaie electrique. 

Si la deuxieme signature destinee au fournisseur 
de services etait produite par un algorithme a cle 
publique, alors les SAM intermediaires seraient, tout 
comme le fournisseur de services, en mesure 
d'authentifier n • importe quelle transaction emanant 
d'un PME. Toutefois, dans ce cas de figure, les 
signatures seraient de taille nettement plus longues et 
done plus couteuses a transferer, a stocker et a 
verifier . • : c 

La presente invention a justement pour but de 
remedier a ces inconvenients . 



Expose de 1 ' invention 

A cette fin, 1 ' invention propose un procede 
utilisant plusieurs signatures, avec une chaine 
d' encapsulations-decapsulations. On suppose qu'on est 

20 en presence d'un reseau de communications (par exemple 
un reseau telephonique) reliant des entites 
susceptibles de communiquer entre elles, avec la 
contrainte qu'il n ' existe pas de canal de communication 
directe entre deux entites souhaitant communiquer et 

25 que les canaux de communication existants peuvent etre 
unidirectionnels . 

Une transaction fait intervenir un sous-ensemble 
d' entites appelees aussi "acteurs", concourant a des 
titres divers a la realisation de la transaction. En 

30 pratique, ces entites ou acteurs sont constituents par 
des moyens physiques : terminal, carte, 

microprocesseur , etc... 



S 16186. C/RS 




4 



Au cours de la transaction : 
■une entite i dispose des moyens necessaires (Eij) 
au calcul des cryptogr amines destines a - une 
entite j, et/ou a la verification de 
5 cryptogrammes en provenance de j , 

■ et une entite j dispose egalement des moyens 
(Eji) corresponants, 
ces moyens Eij et Eji ayant ete obtenus au cours de la 
phase dite d 1 initialisation (effectuee prealablement 
10 et/ou parallelement a la transaction elle-meme) On 
dira alors que ces deux entites partagent un systeme de : 
cles note Kij=Kji={ (i , Eij ) , ( j , Eji) } . Par exemple : 

■dans le cas d ! un systeme a cles secretes, on a : 
Eij=Eji=Sij ; 

15 "dans le cas d'un systeme a cles publiques, on 

a : 

--pour, une communication monodirectionnelle 

Eij- ( Si f Pi) , et Ej=(Pi) , 
- pour une communication bidirectionnelle 
20 E i j=(Si,P i/ Pj), et Eji=(S jf P if Pj) . 

Avec cette definition, le systeme de cles est une 
notion symetrique par rapport a i et j . En revanche, si 
1 1 on note Kij (m) le cryptogramme d'un message m envoye 
par i a j, on a Kij (m) ^Kji (m) . 
25 Dans ces conditions et sous ces hypotheses, une 

entite source de message "encapsule" (c 1 est-a-dire 
renferme) un message dans une suite de cryptogrammes 
portant sur des cryptogrammes, eux-memes ~ portant sur 
des cryptogrammes, etc. . . Tous ces cryptogrammes sont 
30 calcules a I'aide de systemes de cles que I 1 entite 
source partage respectivement avec chacune des entites 
intermediaires situees sur le chemin de la 
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communication. Le cryptogramme global est emis et 
chaque entite intermediaire "decapsule" ( c ' est-a-dire 
extrait) le cryptogramme qu'elle regroit avec le systeme 
de cles qu'elle partage avec l f entite source, et 
transmet le cryptogramme restant a l 1 entite suivante. 
De proche en proche, le premier cryptogramme calcule 
parvient a 1* entite destinataire qui extrait le message 
qui lui est destine a 1 1 aide du systeme de cles 
approprie. 

Selon les besoins de la transaction et les 
protocoles utilises, les cryptogrammes calcules peuvent 
servir . a 1 1 authentif ication des acteurs, a 
1 1 authentif ication de l'origine des messages, ou a la 
non-repudiation (a 1' emission ou a la reception) de ces 
messages . 

Ce procede suppose l f existence d'un systeme de 
gestion des systemes de cles (qui englobe la 
generation, la distribution et/ou l'echange de cles 
necessaires a 1 1 etablissement de communications sures 
avec les autres acteurs), mis en oeuvre au cours d'une 
phase dite d 1 initialisation . Ce systeme de gestion de 
cles peut etre quelconque et par exemple consister en 
une infrastructure a cle publique, avec un protocole de 
transport de cles associe. 

Parmi les entites en presence, certaines peuvent 
jouer le role de tiers de confiance. Par exemple : 

■dans le cas d'un systeme a cle publique, il peut 

s'agir d'une autorite de certification, 
■dans le cas d'un systeme a cle secrete, il peut 
s'agir d 1 une entite maitre, partageant une cle 
secrete avec chacune des autres entites, ou 
certaines d'entre elles seulement. 
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Une entite peut participer a une transaction a 
divers titres comme par exemple : 

1. assurer un relais de 1 1 information : une entite 
joue le role de relais intermediaire et pallie 
ainsi 1 1 absence de canal de communication reliant 
directement un expediteur et un destinataire d'un 
message necessaire a la transaction ; 

2. assurer une desynchronisation : une entite joue 
le role de cache intermediaire de messages pour 
le compte d f une autre entite, destinataire reel 
de ces messages ; cette entite intermediaire : 

• pallie 1 ' indisponibilite temporaire du 
destinataire, 

• est congue pour etre sollicitee plus 
frequemment que le destinataire et joue le 
role d 'interface - regroupant les messages et 
evitant la * sollicrtation systematique du 
destinataire . 

L'emetteur et/ou le destinataire ont interet a 
l'arrivee des informations a destination. Les acteurs 
intermediaires doivent done etre des relais surs de 
cette information- Plusieurs cas sont notamment 
possibles : 

• les acteurs intermediaires ont egalement 
interet a l'arrivee des informations a 
destination. C'est le cas par exemple 
lorsqu' il s'agit d'un commergant dans une 
transaction financiere faisant intervenir un 
client: (acteur expediteur) et le systeme de 
gestion du moyen de paiement (acteur 
destinataire) , 

• 1' expediteur et/ou le destinataire font 
confiance aux acteurs intermediaires pour 
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l f operation de relayage (mais pas 

necessairement pour 1 ' authenticity cie 
I'origine des informations), 

• les acteurs expediteurs et destinataire font 
totalement confiance aux acteurs 

- intermediaires (tiers de confiance), 

• les acteurs expediteur et destinataire ne 
font pas du tout confiance aux acteurs 

: intermediaires, et des moyens de non- 
repudiation a 1' emission et a la reception 
sbnt mis en place. 

De fa?on precise, 1' invention a pour objet un 
procede de realisation d'une transaction electronique a 
travers un reseau de communication reliant une 
pluralite d'entites, ce procede etant caracterise en ce 
qu'il comprend les operations suivantes : 

a) une premiere entite elabore un premier message 
rassemblant les donnees de la transaction et 
calcule un premier cryptogramme de ce premier 
message en utilisant un premier systeme de cles 
qu'elle partage avec une derniere (n 1 * 1116 ) 
entite ; la premiere entite associe ensuite a 
ce premier cryptogramme un deuxieme message et 
calcule un deuxieme cryptogramme de 1' ensemble 
en utilisant un deuxieme systeme de cles 
qu f elle partage avec 1 1 avant-derniere (n-l) l6me 
entite ; et ainsi de suite ; la premiere entite 
associe au (n-2) i6me cryptogramme precedemment 
obtenu un (n-l) i6me message et calcule un 
(n-l) i6me cryptogramme de 1 1 ensemble en 
utilisant un (n-l)^ me systeme de cles quelle 
partage avec la deuxieme entite ; la premiere 
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entite transmet le dernier cryptogramme calcule 
a travers le reseau de communication ;. 
b)la deuxieme entite regoit ce dernier 
cryptogramme, utilise le systeme de cles 
approprie pour extraire du (n-l) l6me 
cryptogramme le (n-l) 1 *" 16 message qu'il 
contient, et transmet le (n-2) i6me cryptogramme 
restant a la troisieme entite ; et ainsi de 
suite ; la n i6me entite regoit le premier 
cryptogramme et utilise le systeme de cles 
approprie pour extraire le premier message 
qu'il contient- 

Dans cette -definition, la "premiere entite" n'est 
pas necessairement 1' entite source du message mais elle 
peut l'etre. De meme, la "derniere entite'?- n'est pas 
necessairement 1' entite destinataire in fi'ne -du message 
mais elle peut l'etre. Ainsi, dans le cas particulier 
precedent, le reseau de communication comprend 
uniquement des entites partageant un systeme de cles 
avec une premiere entite, la transaction s'effectuant 
alors entre la premiere entite, qui est la source du 
message et la derniere, qui est le destinataire du 
message . 

L' encapsulation est alors totale a la source et la 
decapsulation progressive jusqu'au destinataire. 

Dans une variante de mise en- oeuvre, 
1 1 encapsulation est partagee (ou repartie) . Dans ce 
cas, le reseau de communication comprend un premier 
groupe d' entites constitue d'une premiere entite et de 
(i-1) autres partageant chacune un systeme de cles avec 
ladite premiere entite, et un deuxieme groupe d' entites 
constitue d'une premiere entite qui est la derniere 
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entite du premier groupe a savoir 1 1 entite i, et de 
(n-i) autres. L 1 entite i partage un systeme de cles 
avec chacune de ses (n-i) entites suivantes. Ce procede 
comprend deux phases successives : 
5 - une premiere phase dans laquelle le message elabore 
par ... la premiere entite du premier groupe est 
transmis a la i 6me entite du premier groupe 
conformement aux operations a) et b) definies plus 
haut, 

10 - une seconde phase dans laquelle le message extrait 
par la premiere entite du second groupe est transmis 
a la derniere entite du second groupe conformement 
auxdites operations a) et b) . 

15 Dans un cas general, on peut combiner les modes de 

mise en oeuvre qui viennent d'etre definis. Ainsi, le 
reseau de communications peut comprendre un premier 
groupe d' entites constitue d'une premiere entite et de 
(i-1) autres partageant un systeme de cles avec ladite 

20 premiere entite, un deuxieme groupe d' entites 
constitue d'une premiere entite, qui est la derniere 
entite du premier groupe et (j-i+1) autres partageant 
un systeme de cles avec ladite premiere entite du 
deuxieme groupe, un troisieme groupe d 1 entites 

25 constitue d'une premiere entite qui est la derniere 
entite du deuxieme groupe et de (n- j ) autres, les 
(n-j+1) entites de ce troisieme groupe partageant un 
systeme de cles avec la premiere entite du premier 
groupe, ce procede etant caracterise en ce que : 

30 - la premiere entite du premier groupe effectue 

les operations a) definies plus haut, avec les 
systemes de cles qu'elle a en commun avec 
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chacune des autres entites du premier et du 
troisieme groupe, 

- les entites du premier groupe traitent les 
cryptogrammes qu'elles regoivent conf ormement 
aux operations b) definies plus haut, 

- la premiere entite du deuxieme groupe effectue 
les operations a) avec les systemes de cles 
qu'elle a en commun avec chacune des autres 
entites du deuxieme groupe, 

- les entites du deuxieme groupe traitent les 
~ cryptogrammes qu'elles re?oivent conf ormement 

aux operations b) definies plus haut, 

- les entites du troisieme groupe traitent les 
cryptogrammes qu'elles regoivent conf ormement 
aux operations b) - 

La presente invention a egalement pour objet une 
application de ce procede au paiement par porte-monnaie 
electronique . 

Description detaillee de modes de mise en oeuvre 

L 1 authenticity des donnees est obtenue par des 
techniques mettant en oeuvre des mecanismes de 
chiffrement, d 1 authentif ication ou de signature . 

Le terme "signature" utilise dans la suite designe 
des cryptogrammes obtenus aussi bien au moyen de 
mecanismes de signature bases sur des algorithmes a cle 
publique (avec recouvrement ou non du message) que ceux 
bases sur des algorithmes* a cle secrete ("MAC", ou 
"Message Authentif ication Code" em anglais) . 

Les notations utilisees dans la suite sont les 
suivantes : 
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• mij : message determine par l 1 entite i et 
destine a l'entite j. Un message determine par 
une entite i pourra tres bien etre . vide ou 
identique a un message determine par une autre 

5 entite j (m i# i=mj,i pour i*j et 1 donne) ,. : ou 

encore un cryptogramme . Dans le cas du paiement 
par carte PME (Porte-Mp^aie Electronique) , nu,j 
designera par exemple les donnees de ' la 
transaction (y compris les elements anti- 
10 rejeux) . ' 

• Ki,j(m) : cryptogramme du message m, calcule par 
i a I'aide du systeme de cles Kij. L'algorithme 
de calcul de ce cryptograinme depend de 
1 1 application, II n'est fait aucune restriction 

15 sur l'algorithme utilise pour le calcul de ce 

cryptogramme. II pourra s'agir par exemple : 

1. d'un algorithme a cle publique (RSA f DSA, 
etc..) ou d ! un algorithme a cle secrete 
(MAC-DES, etc. . . ) , 

20 2. d f un algorithme de signature, ou d'un 

algorithme de chiffrement. Dans le cas 
d'une signature, on suppose implicitement 
que le cryptogramme utilise permet le 
recouvrement d'un message. Cette 

25 hypothese n'est pas restrictive car on 

peut toujours remplacer Kij (m) par 
K , ij (m)=K ij (m) I |m, ou II designe la 
concatenation de messages. 

• La notation Kij(X r m) est consideree comme 
30 equivalente a Kij(x||m), dans I'hypothese ou les 

deux parties en presence ont convenu de la 
longueur de X. 
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• Dans la suite, le message X sera lui-meme. un 
crypt ogramme K(m'). On appellera 
"encapsulation" le fait d'utiliser ainsi un 
crypt ogramme X=K' (m) comme message. 

• Lorsque le cryptogramme Kj.j(X,m) est destine a 
preserver l'integrite du message, mais que les 
canaux qu'il doit emprunter sont controles par 
des entites qui ont interet au transf ert de ' X, 
on pourra avoir par exemple Kij (K (m' ) , m) =K (m' ) 
||K , ij (m), aucune restriction n ■ etant faite' sur 
1'algorithme de calcul des cryptogrammes . 

Quatre exemples de mise en oeuvre de ce ' procede 
vont etre decrits f 

Exemple 1 : Encapsulation to tale a la source et 
decapsulation progressive*** 

La source elabore un message mi, n rassemblant les 
donnees de la transaction et calcule un premier 
cryptogramme K 1/n (m 1/n ) de ce premier message en 
utilisant un premier systeme de cles K 1#n qu'elle 
partage avec la derniere n 1 ^ entite ; la source 
associe ensuite a ce premier cryptogramme un deuxieme 
message mi, n -i et calcule un deuxieme cryptogramme 
Ki fB -i(Kx.„(mi.„) f mi f „.i) de l'ensemble en utilisant un 
deuxieme systeme de cles Ki, n -i qu'elle partage avec une 
avant-derniere (n-l) i6me entite, et ainsi de suite, 

; la premiere entite associe au (n-Z) 
cryptogramme- precedemment obtenu un (n-l) l6me message 
mi, 2 et calcule un <n-l) i6me cryptogramme de l'ensemble 
en utilisant un (n-l) i6me systeme de cles K 1(2 qu'elle 
partage avec une deuxieme entite, et la source transmet 
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le dernier cryptogramme calcule a travers le reseau de 
communication vers l'entite 2. 

On peut schematiser cette premiere phase par le 
diagramme suivant ou la fleche orientee a droite 
5 symbolise le transfert d ' information entrie 1' entite 1 
(a gauche) et l'entite 2 (a droite) . : c 

Entite 1 Entity 2 

L'entite 2, qui regoit le message de l'entite 1, 
10 realise une decapsulation partielle de ce message a 
l'aide du systeme de cles Ki> 2 ~ : ; elle verif ie : (et 
conserve eventuellement ) le cryptogramme qui lui est 
destine (en 1 ' occurrence la signature du -message mi, 2 ) , 
puis transmet a l 1 entite 3 le reste du message. On a 
15 done, avec les memes conventions, le schema suivant : 

Entity 2 Entity 3 

K 13 (K 14 (.4K l n . 1 (K i n (m l n ),m l n ^p,....m I 4 Xm | 3 ) ^ 

Ce procede est reitere de proche en proche jusqu'a 
20 l'entite n. Pour les entites i et i + 1 intermediates , 
on a : 

Entite i Emit* i+1 

K U+ l< K l.i+2 ( ^U-l^U^Un^^n-P m l J+2>' m i,i+l > > 

Enfin, 1 ' avant-derniere entite (n-1) transmet au 

destinataire (n) le dernier cryptogramme Ki #n (mi, n ) et 

25 celui-ci, a l'aide du systeme de cles K 1/n , recupere le 
message qui lui etait destine : 

Entite n-1 Entite n 
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Exemple 2 : Encapsulation partagee 

L'entite 1 partage un systeme de cles avec 
seulement une partie des entites se trouvant sur le 
chemin de communication, a savoir les entites- 2, . i 
5 qui forment un premier groupe . L'entite i, quant a 
elle, partage un systeme de cles avec chacune des 
entites suivantes : i+1, i+2, . n - et forme avec. 

elles un second groupe. 

L'entite 1 elabore un message pour la derniere 
10 entite i du premier groupe, soit-mi,i et encapsule ce. 
message avec les systemes de cles qu' elle partage .avec 
chacune des entites du premier groupe, et transmet. le 
tout a l'entite 2 : . - 

Entitdrl Entitd 2 

K 1.2 (K 1.3 (K 1.4 ( ^l.i-l^U*" 1 !^* m l.i-l ) - ' m 1.4 ) * m 1.3 X m K2 ) > 

15 Darns * ce • premier- groupe, les entdtes % decapsulent 

progress ivemei^t- les cryptogrammes jusqu'a ce que 
1 1 avant-derniere entite i-1 transmette a la derniere 
entite i, le ; cryptogramme du message qui lui est 
destine : 

Entite M Entite i 



20 

L'entite i procede alors a une encapsulation de la 
totalite des messages m i/i+ i, m i/i+ 2, . mi, n destines 

aux entites du second groupe. Le contenu de ces 
messages- peut dependre du cryptogramme. , regu. Le 
25 resultat de cette • encapsulation est ensudte - transmis 
selon le procede deja decrit, d'abord - de l'entite i a 
l'entite i+1 : 

Entite i Entit6 i+1 

K i,i+l( K i,i+2( K i f i+3< ( K i ? n-l( K i,n( m i ? n^ m i,n-l) m iJ+3)» m i,i+2)> m i,i+0 
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et ainsi de suite a travers les entites du second 
groupe jusqu'a 1 1 avant derniere, n-1, qui transmet le 
dernier cryptogramme au destinataire n. 

5 Exemple 3 : Cas general 

L 1 entite 1 partage un systeme de cles avec une 
partie des entites se trouvant sur le chemin de 
communication, partie que pour la simplicite de 
1' expose, on supposera etre 2, i, j+l# n. 

10 L* entite 1 realise done une encapsulation partielle 
comme le montre le schema suivant : 

Entite 1 . Entil " 

K , f2 ( K ij(K i J+ , ( K i , n (m , >n ) m } J+ ! ),m U ),......m j a ) 



Chaque entite intermediaire decapsule le message 
15 qu'elle regoit a l'aide du systeme de cles approprie, 
et ceci jusqu'a 1' entite i : 

Entitd i-1 Ent» tei 
K i ,j(K j K j , n (m x m j J+ 1 ).m , j) 



25 



Tout acteur (ici "i" uniquement) , qui, apres avoir 
extrait le message qui lui etait destine, obtient un 
20 reste de message destine a un acteur non adjacent sur 
le parcours, le reencapsule a destination de 1 ' entite 
adjacente et (eventuellement ) des suivantes. 

Dans cet exemple, 1' entite i partage un systeme de 
cles avec chacune des entites suivantes : i+1, i+2, 
. .., j. L ! entite i regoit le message de i-1, realise 
une decapsulation partielle, puis reencapsule le 
message obtenu a destination de i+1, i+2, j. 

Entity Entite i+1 

Kj ?i+ 1 ( K j j(K j j+ 1 ( K i n (m ! , n ) , m j J+ 1 ),m* j), m ii+ 1 ) 
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Chaque entite intermediaire decapsule le message 
qu'elle regoit a 1 1 aide du systeme de cles et ceci 
jusqu'a 1' entite j : 

Entitdj-1 Entite j 

K i J< K K l ,n( m 1 ,n) > m 1 j+ 1 )» m i j) 



L 1 entite j decapsule a nouveau. Le message 
decapsule est ensuite transmis de proche en proche de 
j+1 a n : .. 

Emit* j Entite j+1 

K 1>n (m ln ) ,mij + j) 

► 

Entity n-1 fcntite n 



10 

On- pe uit. i 1 1 u s t re% dans le cadrje *de cet exeraple, 
le cas - parti cui.ier? deo-rit,. priecedemment dans lequel 
certains - cryptogranunes - Kj*j(...) sont de * la forme 
K i#j (X,m)=X, K i#j (m) . L'entite i n'encapsule pas les 
15 messages a destination de i+2, . .., j, parce que 

les canaux sont consideres comme surs et les entites 
impliquees n'ont pas interet a falsifier les messages. 

Entite 1 Entite i + 1 

20 

Chaque entite intermediaire re?oit et controle le 

message qui lui est destine a l 1 aide de :Son systeme de 
cles, ceci jusqu'a l 1 entite j. 

Entite j-I Entite j 

25 K u (m u ),K KW UK Ln (m Kn ),...,m |tW )^ 
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L'entite j regoit et controle le message qui lui 
est destine. Le message est ensuite transmis de proche 
en proche de j+l a n : 

Emit* j Enlit * J +1 

*l W<- K l.n<"Ln>-" m LM> T 
Entity n-l Entit6 n 



Exemple 4 : cas du porte-monnaie electronique (PME) 

Dans cet exemple, les entites (ou les acteurs) 
sont : 

• des cartes PME notees A, 

• des points de service P, aptes a recevoir les 
cartes, 

• des concentrateurs de points de service et leur 
module de securite MS , 

• un emetteur E charge d'emettre les cartes PME 
et charge d'acquerir la monnaie electronique. 

Le reseau de communication relie les points de 
service aux concentrateurs et ces concentrateurs a 
1 1 emetteur. 

Par hypothese : 

• A et MS partagent un systeme de cles K A , M , 

• A et E partagent un systeme de cles K a ,e/ 

• A et P partagent un systeme de cles K A , P . 

Les notations employees sont les suivantes : 

• K(m) cryptogramme du message m obtenu er 
utilisant le systeme de cles K, 

• NT A : numero de transaction du PME A, 
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• NT MS : numero de transaction de MS, 

• IDpme : identifiant du PME, 

• ID MS : identifiant de MS. 

Apres l'etape prealable d'echange de cles, A, P et 
MS echangent des informations relatives au numero de la 
transaction NT A et a 1 1 identifiant du PME : 

a P MS 

A incremente son 

N^NT A +1 NTA^DpME NT A .IDpME 



Puis le module de securite communique a l'entite P 
10 son numero de transaction NT MS , apres l'avoir 
increments, ainsi que son identite ; l'identite P 
retransmet ces informations a l'entite A. 

A P MS 

/ A M<NT A> NT MS> 1D MS ) ( K AiM (NT A> N W D MS ). MSincremente 

son compteur 



15 La carte A verifie les donnees qu'elle a regues et 

initialise a zero le cumul (cumul=0) . 

Commence alors le cycle de consommation d' unites 
de service. Les operations mises en oeuvre sont alors 
les suivantes : 
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^ ordre de debit dc montant m 

cumul := cumul+m 

calcul de la micro-transaction 



^pW am (M,K ae (M')) v 

ou M=(m,cumul,NT A ,NT MS ,ID|^g) 
et M^Ccumul.N^.N^g.IDj^g) 



P verifie les donnees qui lui ont ete 

transmises 

cumul := cumul+m 

C'est ensuite le retour au debut du cycle si 
1 f utilisation du service n'est pas terminee. En fin de 
session de service, on a l'ultime echange suivant : 

p MS E 

P ne transmet a MS 

K A.M< M - K A,E< M '», K A.E< M '> ? 
que la demiere signature * 
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REVENDX CAT IONS 



1. Procede de realisation d'une transaction 
electronique a travers un reseau de communication 
5 reliant une pluralite d'entites, caracterise en ce 
qu'il comprend les operations suivantes : 

a) une premiere entite elabore un premier message 
rassemblant les donnees de la transaction et 
calcule un premier cryptogramme de ce premier 

10 message en utilisant un premier systeme de cles 

quielle partage avec une derniere (n x * me ) 
entite ; la premiere entite associe ensuite a 
- . a ce premier cryptogramme un deuxieme message et 
calcule un deuxieme cryptogramme del 1 ensemble 

15 en utilisant un deuxieme systeme- de cles 

qu 1 elle - partage: - avec une - avant-derniere 
(n-1) i6me% ~* entite..; et* - ainsi de suite ; la 
premiere entite associe au (n-2) l6me 
cryptogramme preeedemment obtenu un (n-l) 1 ^ 

20 message et calcule un (n-l) i6me cryptogramme de 

1' ensemble en utilisant un (n-l) i6me systeme de 
cles qu'elle partage avec une deuxieme entite ; 
la premiere entite transmet le dernier 
cryptogramme calcule a travers le reseau de 

25 communication, 

b) la deuxieme entite regoit ce dernier 
cryptogramme, utilise le systeme de cles 
approprie pour extraire du (n-l) 1 * 1 * 6 
cryptogramme le (n-l) i6me message qu'il 

30 contient, et transmet le (n-2) i6me * cryptogramme 

restant a la troisieme entite ; et ainsi de 
suite ; la n i6me entite regoit le premier 
cryptogramme et utilise le systeme de cles 
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approprie pour extraire le premier message 
qu f il contient. 

2. Procede selon la revendication 1, dans lequel 
5 le reseau de communication comprend uniquement des 

entites-partageant une cle avec une premiere entite, la 
transaction s'effectuant alors entre la premiere 
entite, qui est la source du message et la derniere, 
qui est le destinataire du message. 

10 

3. Procede selon la revendication 1, dans lequel 
le reseau de communication comprend un premier groupe 
d f entites constitue d'une premiere entite et de (i-1) 
autres partageant chacune un systeme de cles avec 

15 ladite premiere entite, et un deuxieme groupe d' entites 
constitue d'une premiere entite qui est la derniere 
entite du premier groupe a savoir 1' entite i et de 
(n-i) autres, l f entite i partageant un systeme de cles 
avec chacune des (n-i) entites suivantes, ce procede 

20 comprenant deux phases successives : 

- une premiere phase dans laquelle le message elabore 
par la premiere entite du premier groupe est 
transmis a la i* me entite du premier groupe 
conformement aux operations a) et b) de la 

25 revendication 1, 

- une seconde phase dans laquelle le message extrait 
par la premiere entite du second groupe est transmis 
a la derniere entite du second groupe conformement 
aux operations a) et b) de la revendication 1. 

30 

4. Procede selon la revendication 1, dans lequel 
le reseau de communication comprend un premier groupe 
d f entites constitue d'une premiere entite et de (i-1) 
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autres partageant chacune un systeme de cles avec 
ladite premiere entite, un deuxieme groupe d'entites 
constitue d'une premiere entite, gui est la derniere 
entite du premier groupe et (j-i+1) autres partageant 
chacune un systeme de cles avec ladite premiere entite 
du deuxieme groupe, un troisieme groupe d'entites 
constitue d'une premiere entite gui est la derniere 
entite du deuxieme groupe et de (n-j) autres, les 
( n _j + D entites de ce troisieme groupe partageant 
chacune un systeme de cles avec la premiere entite du 
premier groupe, ce procede etant caracterise en ce 
gue : 

----- la premiere entite du premier groupe effectue 
les operations a) de la revendication 1, avec 
les systemes de cles gu'elle a en commun avec 
chacune des autres entites - du premier et du 
troisieme groupe,- 

- les entites du premier groupe traitent les 
cryptogrammes qu'elles regoivent conformement 
aux operations b) de la revendication 1, 

- la premiere entite du deuxieme groupe effectue 
les operation a) de la revendication 1 avec les 
systemes de cles gu'elle a en commun avec 
chacune des autres entites du deuxieme groupe, 

- les entites du deuxieme groupe traitent les 
cryptogrammes qu'elles recoivent conformement 
aux operations b) de la revendication 1, 

- les entites du troisieme .groupe decryptent les 
cryptogrammes gu'elles recoiven-t conformement 
aux operations b) de la revendication 1. 

5. Procede selon la revendication 1 dans lequel, 
la premiere entite i d'un groupe calcule un 
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cryptogramme des messages destines aux autres entities 
i+1, i+2, . .., j du groupe, sans les encapsuler, chaque 
entite i+1, i+2, j recoit et controle le message 

qui lui est destine a l'aide de son systeme . de : cle 
partage avec i . - 

6. Proc§de selon la revendication 1, dans lequel 
la transaction electronique est un paiement, les 
entites etant constitutes par des cartes (A), des 
points de service (P) aptes a recevoir lesdites cartes 
(A), des concentrateurs de points de service equipes 
d'un module de securite (MS) et relies aux points de 
service et un emetteur (E) charge d'emettre des cartes 
de type paiement electronique et charge d'acquerir la 
monnaie electronique, le reseau de communication 
reliant des points de service (P) aux concentrateurs et 
ces concentrateurs a 1' emetteur, chaque carte (A) 
partageant avec un module de securite (MS) un systeme 
de cles K A , M , chaque carte A partageant egalement avec 
1' emetteur (E) un systeme de cles K A(E , chaque carte (A) 
partageant avec un point de service (P) un systeme de 
cles K A(P . 

7. Procede selon la revendication 6, dans lequel : 
a) la carte (A) : 

- calcule un message (M') a destination de 
1' emetteur (E) , ce message comprenant le cumul 
des montants payes, le numero (NT A ) de la 
transaction, le numero de transaction (NT MS ) du 
module de securite (MS) auquel le point de 
service est relie, et 1 ' identif iant (ID MS ) de ce 
module de securite, 
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- calcule un premier cryptogramme K A , E (M ' ) de ce 
message en utilisant le systeme de cles K A , E 
qu'elle partage avec l'emetteur, 

- ajoute a ce premier cryptogramme un message (M) 
5 contenant le montant de la transaction (m) , le 

cumul, les numeros (NT A , NT MS ) et 1 ' identif iant 
(ID MS ) , 

- encapsule le resultat dans un deuxieme 
cryptogramme K A , M (M, K A(E (M')) utilisant" le 

10 systeme de cles K A , M qu'elle partage avec le 

module de securite (MS), 

- ajoute a ce deuxieme cryptogramme, le message 
M, 

- encapsule le resultat dans un. troisieme 
! 5 cryptogramme K S ,(M, K A , M (M, K A , E (M« ) .) , en utilisant 

le isysteme de cles- :K A > P% , 

- tran-smet ce -troisieme cryptogramme au point de 
service (P) , 

b) le point de service (P) decapsule le cryptogramme 
20 recu a l'aide du systeme de cles K A , P , recupere et 

verifie le message M, et enregistre K A#M (M, K A . E (M' ) ) , 
le precede etant repete si 1 ' utilisation du service 
n'est pas terminee, 

c) en fin d ' utilisation du service le point de service 
25 (P) retransmet le dernier K A ,„ (M, K A/ E (M ' ) ) au module 

de securite (MS) , 

d) le module de securite -(MS) decapsule le cryptogramme 
recpu a l'aide du systeme de cles K A/M ,- recupere le 
message (M) et'transmet^K A>:E (M'«) a l'emetteur, 

30 e) l'emetteur (E) decapsule le cryptogramme regu a 
l'aide du systeme de cles K A , E et extrait le message 
(M ' ) qui lui etait destine. 
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